[Metalab] NSA and GCHQ unlock privacy and security on the internet

[Moritz Wilhelmy]

On Fri, Sep 06, 2013 at 19:31:01 +0200, Ralf Schlatterbeck wrote:
> Diese Ergebnisse muss man heute ergänzen, weil man natürlich solche Bugs
> auch direkt in der Hardware unterbringen kann. Vor ein paar Jahren haben
> ein paar Studenten ein Paper publiziert wo sie eine Hintertür direkt im
> Prozessor untergebracht hatten.

Interessant fand ich dazu auch http://spritesmods.com/?art=hddhack

Den dazugehörigen Vortrag haben vielleicht einige von euch auf der OHM
gesehen. Mit dieser Methode kann man jedenfalls direkt die von der
Festplatte gelesenen Daten (und damit Programme) verändern.
Im Fall von Festplattenfirmware und CPUs mit updatebarem Microcode
verschwimmt auch die Grenze zwischen Hard- und Software, sodass es
teilweise eben garnicht nötig ist, spezielle Hardware mit schwer
auffindbaren Sicherheitslücken zu designen, sondern Hardware von der
Stange entsprechend zu preparieren.

Rein softwareseitig sind auch von der NSA finanzierte oder initiierte
Projekte ganz interessant, z.B. SELinux. Ich könnte mir durchaus
vorstellen, dass die so etwas nicht aus reiner Nächstenliebe schreiben,
sondern mit dem Hintergedanken "wer ein sicheres System möchte, hat auch
etwas vor uns zu verbergen" und dann unbemerkt Hintertüren in solche
Projekte einbauen.

Dazu ist außerdem auch interessant, wie sich die NSA angeblich in
Standardkommitees einschleicht und dort wichtige Entscheidungen
sabotiert (siehe dazu
http://www.mail-archive.com/cryptography@metzdowd.com/msg12325.html )


Grüße,

Moritz